打造Linux安全堡垒Perl的安全性监测

　　CGI使得互联网上的任何人都可以在你的计算机上运行程序，这就使得CGI成为世界上最流行的安全漏洞。作为程序员，我们的责任是不让坏人侵入我们的系统，对于我们所编制的程序来说，要做到没有漏洞可钻。
　　
　　例如，下面这个CGI程序，就是个坏程序：
　　
　　#!/usr/bin/perl -w
　　
　　# cgi-bad – 一个不好的cgi 脚本的例子
　　
　　$file = param("FILE")
　　
　　or die "Must fill out the FILE field\n";
　　
　　unlink("/usr/local/public/data/$file")
　　
　　or die "Can delete $file : $!\n";
　　
　　该脚本所做的是读出在表单中所输入的文件名，并从目录/usr/local/public/data/中删除该名称的文件。错了！该脚本所做的实际上是让任何用户对在网络服务器上usercode可以删除的任何文件作删除操作。请看：
　　
　　% setuid-bad ../../etc/apache/var/userdb
　　
　　我们本来要做的是检查程序的参数，以确定其是否为文件名。问题是你的程序外部所产生的数据用到了系统调用上，如nlink()， open()，和system()。而你并不打算让在你的程序之外产生的数据影响到外部世界。
　　
　　Perl有个选项，打开后，可以强迫你检查常数，环境，输入，或其它有可能被不怀好意的人利用的漏洞。该选项称为“tainting”
　　
　　打开Taint检查选项
　　要打开taint检查选项，让Perl带一个 -T 选项：
　　
　　#!/usr/bin/perl -wT
　　
　　如果我们在上述程序运行时，带有 –T选项，我们会看到如下信息：
　　
　　Insecure dependency in unlink while running with
　　
　　-T switch at setuid-bad line 5.
　　
　　Perl跟踪$file中的值，它是在你的程序外部生成的，(它被称为“tainted”)。 unlink() 被认为是个不安全的操作，因为它对外部世界有影响：文件。在不安全的操作下，企图使用没有信任度的(tainted)数据是危险的。正如我们已经看到的，数据可能有诈。
　　
　　这些漏洞可以由Perl的taint检查选项在运行时捕捉到，并且使得程序停下来。
　　
　　Tainted数据
　　Tainted 数据来源很多，包括：来源于你的环境散列表 (the %ENV) ，参数 (@ARGV)，读入的文件和目录，来源于运行的程序中，以及一些系统调用的结果(用getpw读出口令数据库中的GECOS域)。任何对tainted值的操作(添加，合并，插入)，其结果值也是tainted。这就好像是数据一旦被粘上了污点，那么无论数据传播到哪里，污点就会被带到哪里。
　　
　　仅有三种方式，可以得到“untainted”值：数据直接在程序中指明；数据来自于安全的函数(如localtime)；或者使用正则表达式提取来自不安全函数的tainted 串的一部分。
　　
　　$a = 4; # untainted
　　
　　$file = $ARGV[0]; # tainted
　　
　　$file =~ m{^([^/]+)$}
　　
　　or die "$file is not a good filename.\n";
　　
　　$untainted = $1; # untainted
　　
　　通过正则表达式用括号括起来，创建了$1， $2， ... 变量。这些都是untainted数据。通过正则表达式，你可以确信它就是你所期望的值。如果匹配失败，你会得到失败信息。如果匹配成功，$1 ...变量包含了你可以使用的untainted 数据。
　　
　　如果我们已经打开tainting 选项，当我们试图做unlink()操作时，Perl 解释器会停下来，告诉你$file 中包含了tainted 数据。文件名是 tainted的，因为它来自于不信任源：使用你的程序的人。
　　
　　坏动作
　　如果你所使用的数据是tainted的，你想要Perl程序所做的大多数事情会产生出错信息。如果文件名或程序名是tainted的，那么运行程序，打开文件来写入，以及删除文件，这些操作都将被禁止进行。